asp.Net通用防注入程序(整站通用)

最新推荐文章于 2019-01-11 00:25:36 发布
转载 最新推荐文章于 2019-01-11 00:25:36 发布 · 718 阅读 · 0
文章标签:

#asp.net #string #application #object #email #class

本文介绍了一种通过数据验证和配置实现全面防止SQL注入攻击的方法,包括使用正则表达式检查输入参数的有效性,并通过Web.config文件指定允许的参数类型。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

出处:淘特网

注:转载请注明出处

防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。

做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。

一、数据验证类:
parameterCheck.cs

public class parameterCheck{
    public static bool isEmail(string emailString){
        return System.Text.RegularExpressions.Regex.IsMatch(emailString, "['//w_-]+(//.['//w_-]+)*@['//w_-]+(//.['//w_-]+)*//.[a-zA-Z]{2,4}");
    }
    public static bool isInt(string intString){
        return System.Text.RegularExpressions.Regex.IsMatch(intString ,"^(//d{5}-//d{4})|(//d{5})$");
    }
    public static bool isUSZip(string zipString){
        return System.Text.RegularExpressions.Regex.IsMatch(zipString ,"^-[0-9]+$|^[0-9]+$");
    }
}

二、Web.config

在你的Web.config文件中,在<appSettings>下面增加一个标签:如下

 

<appSettings>
    <add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />
</appSettings>


其中key是<saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称比如:OrderId,后面的int32表示数据类型。

三、Global.asax

在Global.asax中增加下面一段:


[code]
protected void Application_BeginRequest(Object sender, EventArgs e){
    String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString().Split(',');
    for(int i= 0 ;i < safeParameters.Length; i++){
        String parameterName = safeParameters[i].Split('-')[0];
        String parameterType = safeParameters[i].Split('-')[1];
        isValidParameter(parameterName, parameterType);
    }
}

public void isValidParameter(string parameterName, string parameterType){
    string parameterValue = Request.QueryString[parameterName];
    if(parameterValue == null) return;

    if(parameterType.Equals("int32")){
        if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx");
    }
    else if (parameterType.Equals("double")){
        if(!parameterCheck.isDouble(parameterValue)) Response.Redirect("parameterError.aspx");
    }
    else if (parameterType.Equals("USzip")){
        if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx");
    }
    else if (parameterType.Equals("email")){
        if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx");
    }
}
ASP防注入
yonghengzhimi的专栏
09-13 777
ASP防注入漏洞方法 在做安全配置前,我们先了解一下入侵者的攻击手法。现在很流行注入攻击,所谓注入攻击,就是利用提交特殊地址将ASP中引用的正常SQL语句和入侵者所需要的SQL语句一并执行,使入侵者达到入侵的目的。现在更是有一些脚本注入工具发布,使菜鸟也可以轻松完成对ASP的注入攻击。那么我们先来了解一下这些工具是怎样注入的。 首先,入侵者会对一个网站确定可不可以进行注入,假设一篇文章的地址为:http://www.scccn.com/news.asp?id=1一般会以提交两个地址来测试,如:http.
ASP.NET通用防注入实用版
06-06
嘎嘎。上次是没分了抢劫了大家一次。这次发布的是使用在几个网站上面的实用版。<br>对注入的数据进行了记录,包括地址、参数、IP。
ASP.NET 2.0通用防注入
01-25
ASP.NET 2.0通用防注入插件源代码<br>利用了httpModules对字符进行检测,仅仅对少数几个关键SQL命令进行了检测。<br>跳过了multipart/form-data类型的数据。<br>即插即用型 :)放置如bin目录。修改web.config即可。<br>将SQLINC.DLL放入bin目录。在web.config中加入<br><br><httpModules><br> <add name="Tanson.WebSite.FlowStatistics.SqlINC" type="Tanson.WebSite.FlowStatistics.SqlINC"/><br></httpModules>
ASP.NET中防止注入攻击[翻译]
weixin_33813128的博客
03-29 190
出处: MSDN 原文地址 应用范围: ASP.NET vertion 1.1 ASP.NET vertion 2.0   概要: 文本主要介绍如何校验用户输入从而防止注入式攻击.校验用户输入是非常必要的,几乎所有程序级的攻击都包含恶意输入的手段. 你应该校验包括字段,查询字串参数,Cookie等一切用户输入项来保护你的程序免受注入攻击.你得假设所有的用户输入都是恶意的,确保在服...
ASP.NET网站防止SQL注入攻击
weixin_34090562的博客
05-05 221
目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发 ASP.NET 程序时使用请求验证防止注入攻击. 使用 ASP.NET 验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式防止注入攻击. 防止错误的详细信息被返回到客户端.   概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查...
ASP.NET中防止注入攻击
我的"什么是?" -eRicSone
04-16 1863
目的:输入的字串长度,范围,格式和类型进行约束. 在开发ASP.NET程序时使用请求验证防止注入攻击. 使用ASP.NET验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式防止注入攻击. 防止错误的详细信息被返回到客户端. 概述 :  你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查询字串,客户端cook
ASP.NET中防止注入攻击
程序员天空
05-31 957
概述 :  你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查询字串,客户端cookies和浏览器环境值比如用户代理字串和IP地址等.  弱输入校验通常为注入攻击提供了机会.下面是常见的利用弱输入校验或无输入校验进行攻击的手段.SQL 注入(SQL injection). 如果你使用用户的输入值来动态构造SQL语句,那么数据库可能执
ASP.NET展会整站源码.zip
11-13
这个"ASP.NET展会整站源码.zip"文件显然包含了用于构建一个完整的展会网站的所有源代码。源码通常包括HTML、CSS、JavaScript以及C#或VB.NET等编程语言编写的后端代码,这些代码共同协作以实现网站的功能。 ASP.NET...
SQL通用防注入系统3.1β版
05-14
如果想整站防注,就在网站的一个公用文件中,如数据库链接文件conn.asp中! 添加<!--#Include File="Neeao_SqlIn.Asp"-->来调用本软件 需要注意的是,在添加到数据库连接文件中,为了不和程序发生冲突, 需添加在...
ASP源码—酷源码ASP下载系统.zip
最新发布
10-22
ASP(Active Server Pages)是一种由微软开发的服务器端脚本环境,用于创建动态网页和Web应用程序。这个"ASP源码—酷源码ASP下载系统.zip"文件似乎包含了一个基于ASP技术构建的下载系统的源代码。从标题和描述来看,...
aspnet防注入
01-20
aspnet防注入
ASP.NET中防止注入
06-25
ASP.NET中防止注入
asp.net 防SQL注入(非常简洁)
07-05
protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.goErr(this.Request.Form[i].ToString()); } //遍历Get参数。 foreach (string i in this.Request.QueryString) { this.goErr(this.Request.QueryString[i].ToString()); } } private void goErr(string tm) { if (SqlFilter2(tm)) { Response.Write("无效的提交!"); Response.End(); } } public static bool SqlFilter2(string InText) { string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join"; if (InText == null) return false; foreach (string i in word.Split('|')) { if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1)) { return true; } } return false; }
ASP.NET开发网站程序的安全解决方案(防注入)
09-20
ASP.NET开发网站程序的安全解决方案(防注入)
.net 通用防注入代码
weixin_34007886的博客
01-11 175
  using System;namespace web.comm{    /**//// &lt;summary&gt;    /// ProcessRequest 的摘要说明。    /// &lt;/summary&gt;    public class ProcessRequest    {        public ProcessRequest()        {         ...
编写通用asp防注入程序
weixin_34407348的博客
04-14 185
2019独角兽企业重金招聘Python工程师标准>>> ...
ASP.NET 防注入
weixin_30319153的博客
06-08 281
一、 输入验证1. 什么是输入 输入是编译时以外的全部数据交换。WEB应用程序从各种来源获取输入,例如所有用户发送的,或者应用程序运行的往返数据(用户提交的数据、视图状态、 cookie、查询字符串参数等),以及后台数据(数据库、配置数据和其他数据来源)。所有输入的数据都会在某种情况下影响请求的处理。[1]2. 输入验证的必要性为什么输入验证如此重要?第一个原因非常明显:用户都不希望使用虚假的数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值